Infecté par Simda.AF cheval de troieRésolu/Fermé

Question

Bonjour à tous,

Tout est dans le titre, et plus en détails:

Dernièrement (probablement suite à l'exécution d'un .exe) j'ai due infecter mon pc...
J'avais plus d'antivirus bien sure, du moins un antivirus plus à jours depuis 3 ans (VirusKeeper)...
Les symptômes comme ceux décrits sur le net pour ce cheval de troie:

- Au bout d'un certain temps après chaque démarrage du pc les moteur de recherche sur le net ne marche plus, je n'arrive pas sur la page "Google, Bing etc..)
- La RAM se remplit au fur et à mesures que je lance des programmes ou navigue sur le net mais se vide rarement, et donc atteint le max et fait planter mon PC (écran bleu)
- Perte de performance sur le pc en général et sur la navigation internet.
- Et je ne peux plus clicker sur des liens qui apparaissent sur une petite partie en bas à gauche de l'écran où que je soit sur le net.... pourtant rien d'apparent à l'écran. BIZARRE

J'installe NOD32 et lance des scan, détecte rien de méchant. Mais finit par le détecte tout seul sans scan lancé de ma part (surveillance active):

Il m'affiche donc:
-------------------------------------------------------------------------------------------------------
Alerte
Menace détectée

Objet: C:\WINDOWS\SYSTEME32\DRIVERS\WD01000.SYS
Menace: Win32/Simda.AF  cheval de troie

Un événement s'est produit pendant une tentative d'accès au fichier par l'application  C:\WINDOWS\SYSTEME32\ svchost.eve
-------------------------------------------------------------------------------------------------------

Bien sure il n'arrive pas à la supprimer ou la mettre en quarantaine.

Le module ESET SysInspector (module de NOD32) indique le processus SMmSvcHost.exe à un niveau 7 (critique) également.

Un scan en mode sans échec avec NOD32 ne donne rien, idem pour Malwarebytes Anti-Malware.
Ceux sont les seuls que j'ai essayé en mode sans échec et sinon j'ai essayé:
- G DATA
- F SECURE
- ADW CLEANER
- SPYBOT SHEARCH & DESTROY

Sans succès.

Très peu de posts au sujet de ce Simda.AF sur le net et ici même un sujet, mais ca cause que de rapports à up... (dont je ne comprend totalement le but pour le moment). Je pensais qu'il existait des programmes pouvait faire l'affaire directement mais apparemment non.

Je vous sollicite donc pour m'aider à éradiquer ce foutu "virus" !
Un grand merci à ceux qui prendront la peine d'essayer car je n'ai pas très envie de formater mon pc.

Malekal_morte- · Answer

Salut,


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
 

puis :


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici. 
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Coche tout en faisant un clic droit / cocher tout 
puis bouton supprimer sélection pour tout supprimer. 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

KSpecial · Answer

Salut, 

Merci de répondre.

Dans un premier temps voici le liens du rapport de TDSSKiller : https://pjjoint.malekal.com/files.php?id=20130929_q11m14t7q8z10
 (qui trouve comme NOD32 le WD01000.SYS infecté) ...

KSpecial · Answer

Et voici le rapport de mbam:

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.09.28.11

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
KAM'S :: KAM-PC [administrateur]

Protection: Activé

29/09/2013 01:33:59
mbam-log-2013-09-29 (01-33-59).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 224561
Temps écoulé: 9 minute(s), 

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Malekal_morte- · Answer

Télécharge et installe Malwarebyte MBAR : https://www.malekal.com/malwarebytes-anti-rootkit-mbar-beta/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
Enregistre le rapport sur http://pjjoint.malekal.com
Donne le lien pjjoint ici.

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

KSpecial · Answer

Re,

Analyse de MBAR en cours actuellement, il a trouvé pour l'instant ce même fichier infecté (WD01000.SYS) par Simda.AF (rootkit).

Le problème c'est que en même temps NOD32 qui est toujours activé détecte C:\ProgrameData\Malwarebytes' Anti-Malware (portable)\Wdf01000.sys_k.mbam et prévoit en action "supprimé (après le prochain redémarrage) - mis en quarantaine".

Est ce que j'aurai du désactiver provisoirement NOD32? et refaire le scan?
Ou cela ne posera pas problème?
Autant le fichier original WD01000.SYS n'arrive pas être supprimé par NOD32 autant là il risque de réussir la suppression de celui qui est stocké par MBAR...

Malekal_morte- · Answer

ok,

File system type: NTFS
SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
Replacement file found for a file C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader] 


oui refais un scan MBAR avec NOD32 désactivé.
C'est juste pour vérifier qu'il l'a bien viré et qu'il ne détecte plus rien.

KSpecial · Answer

Scan en cours :s    :

Malware found: 1

C:\WINDOWS\SYSTEM32\drivers...
File C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys has been successfuly cured
Infected: C:\WINDOWS\SYSTEM32\drivers\Wdf01000.sys --> [Rootkit.RLoader]
Done!

Désinfecté puis infecté à nouveau??
Je re-post le rapport dès que finis.

KSpecial · Answer

Nouveau rapport:

https://pjjoint.malekal.com/files.php?id=20130929_y11o5n8t12g10

Malekal_morte- · Answer

Dans le premier rapport, y avait pas de cure.

Ca donne quoi si tu relances un scan?

Malekal_morte- · Answer

ok,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start
Wdf01000.sys
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

KSpecial · Answer

C:\Users\KAM'S\Desktop\OTL.exe n'a pu être enregistré car vous ne pouvez changer le contenu de ce répertoire.

Changez les propriétés du répertoire et essayez à nouveau, ou essayez d'enregistrer ailleurs.



C'est Windows qui me bloque ça ou ce foutu "virus" ? Que doit je faire?

KSpecial · Answer

Liens des rapports:

OTL: https://pjjoint.malekal.com/files.php?id=20130929_p12t7m5n7v11
Extras: https://pjjoint.malekal.com/files.php?id=20130929_r13e8l13u15q10

Malekal_morte- · Answer

bon les deux ont l'air pourri.

J'ai trouvé un pour Windows Seven, en espérant que ce soit bon.

Télécharge ça : http://upload.malekal.com/Malware/Wdf01000.zip 
Décompresse le dans C:\
Donc tu dois avoir C:\Wdf01000.sys

Ensuite :


Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
C:\Windows\System32\drivers\Wdf01000.sys|C:\Wdf01000.sys /replace
:Commands
[reboot]

* poste le rapport ici


Refais un scan OTL et donne le rapport.

KSpecial · Answer

Je n'ai pas eu de rapport après avoir faire exécuté ta commande, juste un redémarrage nécessaire à l'application de celle-ci.

KSpecial · Answer

Seulement un rapport OTL:
https://pjjoint.malekal.com/files.php?id=20130929_h6q13k11l5g12

Malekal_morte- · Answer

la copie ne s'est pas faite.
On va tenter avec The Avenger.


Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista [img]http://imagesup.org/image[/img]

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:

begin copying here:
Files to move:
C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys
C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys

» Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt que tu postes et tu vois si ç'est mieux


 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

KSpecial · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\System32\drivers\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Error:  could not move file "C:\Wdf01000.sys"
File move operation "C:\Wdf01000.sys|C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)


Completed script processing.

*******************

Finished!  Terminate.

Malekal_morte- · Answer

ok copie foirée.

Essaye de redémarrer l'ordinateur, après le premier écran, juste au changement d'écran qui conduit au chargement de Windows, tapte sur F8.
Tu dois avoir un menu avec invites de commandes en mode sans échec.

une fois en invite, tape ces commandes à valider par entrée :

copy C:\Wdf01000.sys C:\Windows\System32\drivers\Wdf01000.sys 
copy C:\Wdf01000.sys C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys 

Si ça te dit accès refusé, laisse tomber.


Utilise alors le Live CD : https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/ 
et démarre dessus, tu auras une icone mon ordinateur, qui te permet de copier le fichier C:\Wdf01000.sys vers C:\Windows\System32\drivers\Wdf01000.sys  en écrasant celui existant (malicieux).

Meme chose, copier C:\Wdf01000.sys vers C:\Windows\winsxs\x86_microsoft-windows-wdf-kernellibrary_31bf3856ad364e35_6.1.7600.16385_none_76296e5d7f3fae5b\Wdf01000.sys 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

KSpecial · Answer

Autant pour moi donc:

1 ligne exécutée OK: "1 fichier copié"
2ème ligne: "0 fichier copié" "accès refusé"

Je suppose qu'il me reste que le live CD.. Je relance le DL car tout à l'heure ça a remplis ma RAM et planté le PC (écran bleu), je vais donc recommencer...
Et je te tiens au courant dans la soirée, je fait un break là car ça ma soulé.

KSpecial · Answer

Bon rien ne va plus, je pense qu'on a fait une bêtise : j'écris "depuis" le live CD. Car mon PC veut plus booter sour mon Seven... et évidement la réparation qui se met en marche au démarrage ne répare rien.
J'avais bien copié le fichier que j'avais mis dans C: dans le dossier Windows\drivers puis est allé dans le bon dossier kernellibrary_blabla.. pour remplacer celui là aussi.
Mais le second était exactement comme celui que tu m'a filé de .sys. En le copiant dans le dossier drivers je pense qu'il s'est tout seul copié dans kernellibrary en même temps.
Autre chose: mon Wdf01000 fesait environs 400 Ko et datait de 2009 mais le tiens fait environ 700Ko et date de 2012.

Le problème c'est que j'ai pas de copie de mon original.

Mon pc est un ASUS G1S (pc portable) sous Windows 7 Pro édition integrale si jamais ya besoin.
Sinon est ce que je peut faire un restauration depuis le live CD? Et ce que ça servirait au moins à avoir le PC qui marche même infecté.?
Need backup please

KSpecial · Answer

il est sous XP le pro

KSpecial · Answer

Yop re,

Bon c'est le bon! Je me suis dit que ça devait être le bon en le téléchargeant, date de 2009 et 400Ko et quelques.
Analyse MBAR terminée et 0 malware trouvé.
J'ai lancé un coup de Security Task Manager (version évaluation) qui me met plus "svchost.exe" ou "SMSvcHost.exe" à un haut taux de risque d'infection comme je l'avais vu quand j'étais infecté.

Niveau navigation ça n'a plus rien avoir, c'est bien plus rapide, et je n'ai plus le "bug" comme quoi je ne pouvais pas cliquer sur tous liens situés en bas à gauche du dans le navigateur (firefox ou opera). Au niveau de la libération de la RAM ça à l'air normal aussi.

UN GRAND MERCI A TOI POUR TA PATIENCE.

Et de mon coté il va falloir que je nettoie mon pc (registre et autres) que je mette ce qu'il faut niveau protection etc, j'ai vu sur ton site qu'il y avait une partie dédiée j'irai faire un tour que je me mette un peu à jours! J'espère que cette c****** n'est pas encore sur mon pc planquée et le ré-infectera à nouveau. je ferais un scan MBAR tout les jours pendant quelques jours!

De toute façon je pense bientôt format le C: et réinstall car pas une défrag en 3 ans et un antivirus non à jours pendant tout ce temps...

Malekal_morte- · Answer

bon c'est cool quand meme :)



Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

KSpecial · Answer

Merci pour ton aide et tes conseil, oui je vais me pencher sérieusement dessus car il le faut!
Ouai c'était le premier que tu m'a envoyé aujourd'hui qui était le bon, je n'ai pas essayé le tout dernier.
J'ai firefox qui consomme beaucoup trop je trouve, surtout en processeur là par exemple j'ai juste cette page qui est ouverte et absolument rien d'autre sur le pc que je fait redemarré ya  5min, il tourne à 50% de proc à lui tout seul... pour environ 200Mo consommé en RAM.
D'ailleur pour le processeur il le fesait pas ça avant quand je suis sur un site "simple" comme ici (pas d'animation flash ou autre).

Je reprendrai le fil plus tard dans la soirée

Infecté par Simda.AF cheval de troie

24 réponses

Discussions similaires

Newsletters